Свобода прессы умирает в темноте, но она также умирает и в том цифровом следе, который оставляет ваш телефон.
Freedom of the Press Foundation выступила с прямым предупреждением: «лазейка data broker» позволяет государственным агентствам покупать доступ к данным о местоположении и личности, полученным из приложений, вместо того чтобы получать ордер. Это означает, что конституционные ограничения, призванные сдерживать государственную слежку, можно обойти одной строкой в бюджете. Сегодня этот канал используется для enforcement, включая отслеживание уязвимых людей. Завтра — или уже сейчас — его могут использовать, чтобы выявлять источники журналистов, запугивать их и перекрывать поток информации.
Это важно, потому что защита источников — не какая-то узкая проблема редакций. Если whistleblowers поверят, что их перемещения, устройства и личности можно отследить через коммерческие данные, они просто перестанут говорить. Когда источники замолкают, коррупции становится легче дышать.
Лазейка data broker, если отбросить все лишнее#
Вот суть проблемы: государство может сталкиваться с юридическими барьерами, когда хочет получить чувствительные данные о местоположении или личности напрямую от оператора связи, платформы или устройства. Но параллельно существует рынок, где частные компании собирают данные из приложений, ad-tech SDK и мобильных экосистем, упаковывают их в продукт и продают. А агентства затем покупают доступ.
В рекламной подаче это называется «commercially available information». И это определение делает очень много грязной работы.
Человек не дает осмысленного согласия становиться объектом слежки только потому, что какое-то приложение-фонарик, погодное приложение или рекламная сеть выгребли идентификаторы устройства и историю его перемещений. Но как только эти данные попадают в экономику брокеров, агентства могут обращаться с ними как с покупкой в магазине у дома, а не как с событием конституционного масштаба.
Почему это проблема Fourth Amendment#
Fourth Amendment должна ограничивать необоснованные обыски и изъятия. На практике это означает, что государство в общем случае не должно получать чувствительные и многое раскрывающие записи о вашей частной жизни без судебного контроля.
Но если те же самые данные можно купить у брокера, эти ограничения начинают выглядеть уже не как защитные барьеры, а как необязательное неудобство. Лазейка превращает правовые ограничения в procurement strategy. Нужна история перемещений? Купите. Нужны данные устройства, привязанные к личности? Тоже купите. Нужно избежать суда? Просто пропустите этот этап.
Именно это должно пугать людей: возможности слежки теперь ограничиваются не только законом или технической сложностью. Они также зависят от того, кто и что продает.
Почему журналистам и источникам нужно беспокоиться уже сейчас#
Если можно составить карту устройства, можно составить и карту отношений. Если можно составить карту отношений, можно вычислить источник.
Именно на эту опасность указывает Freedom of the Press Foundation. Те же потоки данных, которые используются для enforcement, способны раскрыть скрытые контакты, на которых держится расследовательская журналистика.
Представьте такой pattern analysis:
- Устройство, связанное с госслужащим, регулярно появляется рядом с офисом репортера.
- Два телефона находятся в одном и том же месте незадолго до выхода чувствительного материала.
- Источник посещает юридическую фирму, затем редакцию, а потом возвращается на объект с ограниченным доступом.
- Должностное лицо, имеющее доступ к данным, склонным к утечке, находится рядом с журналистом перед публикацией.
Чтобы узнать что-то опасное, никому не нужно взламывать encrypted chat. Никому не нужно изымать блокнот по subpoena. Первый этап охоты может обеспечить просто купленный dataset.
Защита источников — это не только encryption сообщений#
Многие советы по цифровой безопасности сосредоточены на содержании: шифруйте сообщения, используйте исчезающие чаты, проверяйте ключи, защищайте файлы. Это хорошо. Это необходимо. Но этого недостаточно.
Metadata часто представляет еще большую угрозу. Кто с кем встречался, где, когда и как часто, может быть полезнее самих слов. Источник может вообще ничего не писать в тексте, правильно использовать Signal и все равно быть раскрыт по истории перемещений, ad ID или связке устройств, проданных через экосистему коммерческой слежки.
Вот жестокий вывод: сильное encryption не может спасти вас от сбора данных, который происходит вне chat app.
Как коммерческая слежка стала государственной слежкой#
Обычно конвейер брокеров начинается гораздо раньше — в обычной гнили экономики приложений.
Бесчисленные мобильные приложения подключают software development kits для аналитики, рекламы, attribution, engagement и «personalization». Эти компоненты могут собирать данные о местоположении, идентификаторы устройств, сигналы об использовании приложений и другие поведенческие данные. Как только через этот поток проходит достаточное число участников, он превращается в торгуемый актив.
К моменту, когда агентство получает доступ, первоначальный сбор данных может быть погребен под слоями контрактов, поставщиков, реселлеров и эвфемизмов. Данные могут описываться как anonymized, aggregated или pseudonymous. В реальности паттерны местоположения и устройств часто очень хорошо идентифицируют человека, особенно если объединить их с местом работы, домом, поездками и рутинным поведением.
«Анонимные» данные часто просто маскируются#
Телефон, который ночует по одному адресу, а будни проводит в одном офисе, очень быстро перестает быть загадкой. Добавьте несколько повторяющихся маршрутов, визиты в уникальные места и пересечения с другими устройствами — и «обезличенный» набор данных становится почти подписанным именем.
Именно поэтому формула «мы не знаем, кто это, у нас только device ID» звучит успокаивающе только на бумаге. Для журналистов и источников это слабое утешение.
Почему эта история больше, чем спор о privacy#
Речь идет не только о приватности как личном комфорте. Речь идет о балансе сил между гражданином и государством.
Когда государство может купить то, что иначе потребовало бы ордера, надзора и юридической ответственности, оно получает shortcut вокруг демократических ограничений. А когда этот shortcut можно применить к журналистам, редакциям, адвокатам, активистам и информаторам, под ударом оказывается не просто отдельный человек, а вся инфраструктура общественного контроля.
Свобода прессы зависит от того, могут ли люди безопасно сообщать неудобную правду. Если коммерческий рынок данных превращает каждую встречу, поездку и физическое соседство в потенциальную улику, цена за разговор с журналистом резко растет.
Практический вывод#
Если вы журналист, редактор или потенциальный источник, относитесь к данным о местоположении и рекламным идентификаторам как к такому же риску, как к незащищенной переписке.
Что имеет смысл сделать уже сейчас:
- Отключить у приложений доступ к геолокации, если он не нужен по делу, и регулярно пересматривать разрешения.
- Запретить ad tracking, сбросить рекламный идентификатор и удалить приложения, которые собирают больше данных, чем оправдано их функцией.
- Не брать основной личный телефон на чувствительные встречи с источниками или журналистами.
- Разделять устройства и аккаунты для обычной жизни и для конфиденциальной работы.
- Предпочитать встречи в местах и по маршрутам, которые не создают очевидных повторяющихся паттернов.
- Обсуждать в редакции не только secure messaging, но и location hygiene: какие устройства люди носят, какие приложения стоят и что они постоянно передают наружу.
Главная мысль проста: защищать нужно не только содержание разговора, но и сам факт контакта. Пока рынок коммерческих данных открыт для государства, именно этот след может стать самым уязвимым местом.